设计并实现面向Windows平台的终端检测策略,覆盖恶意进程注入、内存加载、EDR绕过、行为混淆等典型攻击技术
2、基于行为、内存、注册表、文件等多维数据建模,实现对高阶威胁的高精准度识别与拦截
3、深入研究典型黑产与APT组织的攻击链、TTPs与工具集,结合样本溯源、沙箱分析、行为分析等手段,构建针对性检测/阻断策略
4、复现并分析主流与自研EDR产品的致盲、绕过、Patch等对抗技术,参与终端安全相关告警的分析、事件响应与复盘,熟悉通用攻击模型转化为检测策略
5、推动终端检测策略与云端规则的协同联动,实现端到端的策略闭环,与威胁情报、溯源、安全运营等团队协同作战,持续提升检测与对抗能力